AWS Certificate Manager(ACM) 인증서의 DNS 검증 상태가 여전히 검증 보류 중인 이유는 무엇입니까?

최종 업데이트 날짜: 2020년 9월 11일

DNS 검증을 사용하여 새 AWS Certificate Manager(ACM) 인증서를 요청했지만 상태가 여전히 검증 보류 중으로 표시됩니다.

간략한 설명

DNS 검증을 사용하여 ACM 인증서를 요청하는 경우 ACM이 DNS 구성에 추가해야 하는 CNAME 레코드를 제공합니다. ACM은 CNAME 레코드를 사용하여 도메인의 소유권을 검증합니다. 도메인이 검증된 후에는 인증서 상태가 검증 보류 중에서 발급 완료로 업데이트됩니다.

다음과 같은 경우에는 DNS 검증을 사용하는 인증서 요청이 검증 보류 중으로 유지될 수 있습니다.

  • CNAME 레코드가 올바른 DNS 구성에 추가되지 않았습니다.
  • CNAME 레코드에 추가 문자가 있거나 누락된 문자가 있습니다.
  • CNAME 레코드가 올바른 DNS 구성에 추가되었지만 DNS 공급자가 DNS 레코드 끝에 베어 도메인을 자동으로 추가했습니다.

참고: ACM은 DNS 레코드를 주기적으로 확인합니다. 이 프로세스는 수동으로 확인할 수 없습니다.

DNS 검증에 대한 자세한 내용은 DNS를 사용하여 도메인 소유권 확인을 참조하십시오.

해결 방법

CNAME 레코드가 올바른 DNS 구성에 추가되지 않은 경우

CNAME 레코드가 DNS 구성에 올바르게 추가되었는지 확인하려면 다음과 비슷한 명령을 실행하십시오.

참고: example-cname.example.com은 ACM CNAME 레코드로 바꾸십시오.

Linux 및 macOS:

dig +short _example-cname.example.com

Windows:

nslookup -type=cname _example-cname.example.com

CNAME 레코드가 올바른 DNS 구성에 추가되고 나서 성공적으로 전파된 경우 이 명령은 출력에 CNAME 레코드 값을 반환합니다.

참고: 일부 DNS 공급자는 DNS 레코드를 전파하는 데 24~48시간이 걸릴 수 있습니다.

인증서가 검증 보류 중 상태이면 ACM에서 제공한 CNAME 레코드가 올바른 DNS 구성에 추가되었는지 확인해야 합니다. CNAME 레코드를 추가할 DNS 구성을 확인하려면 다음과 비슷한 명령을 실행하십시오.

Linux 및 macOS:

dig NS example.com

Windows:

nslookup -type=ns example.com

이 명령은 올바른 DNS 구성의 NS 레코드에 포함된 이름 서버를 제공합니다. CNAME 레코드가 추가된 DNS 구성에 명령 출력에 제공된 이름 서버와 함께 NS 레코드가 포함되었는지 확인합니다.

Route 53 호스팅 영역에 CNAME 레코드를 추가하는 방법에 대한 자세한 내용은 Amazon Route 53 콘솔을 사용하여 레코드 생성을 참조하십시오.

CNAME 레코드에 추가 문자가 있거나 누락된 문자가 있는 경우

DNS 구성에 추가된 CNAME 레코드에서 이름이나 값에 추가 문자가 없거나 누락된 문자가 없는지 확인하십시오.

CNAME 레코드가 올바른 DNS 구성에 추가되었지만 DNS 공급자가 DNS 레코드 끝에 베어 도메인을 자동으로 추가한 경우

DNS 공급자는 모든 DNS 레코드의 이름 필드 끝에 베어 도메인을 자동으로 추가할 수 있습니다. 이 시나리오에서 DNS 구성에 추가되어 전파된 CNAME 레코드는 다음과 비슷합니다.

_example-cname.example.com.example.com

인증서 요청은 최종적으로 실패할 때까지 검증 보류 중으로 유지됩니다.

DNS 공급자가 CNAME 레코드의 끝에 베어 도메인을 자동으로 추가했는지 확인하려면 다음과 비슷한 명령을 실행하십시오.

Linux 및 macOS:

dig +short _example-cname.example.com.example.com

Windows:

nslookup -type=cname _example-cname.example.com.example.com

출력에서 CNAME 레코드 값이 반환되면 DNS 공급자가 DNS 레코드 이름 필드 끝에 베어 도메인을 추가한 것입니다.

이 문제를 해결하려면 CNAME 레코드를 편집하고 이름 필드에 입력한 텍스트에서 베어 도메인을 제거하십시오.

DNS 공급자가 베어 도메인을 추가한 후에는 베어 도메인이 하나만 존재합니다.

자세한 내용은 DNS 유효성 검사 문제 해결을 참조하십시오.